CHEQUER Bounty Program
Bug Bounty Program
Compliance Bounty Program
Bug Bounty Program
1. 프로그램 소개
CHEQUER 버그 바운티 프로그램은 CHEQUER 서비스의 취약점을 찾아 고객님들께 보다 안전한 서비스를 제공하기 위한 프로그램입니다. 버그바운티를 통해 CHEQUER 서비스 보안 취약점을 빠르게 인지하여 수정하고, 버그바운티를 참여한 전문가분들께 적절한 포상을 지급하고자 하는 것을 목적으로 합니다.
2. 대상
하단 CHEQUER 서비스에서 발생하는 취약점 및 버그를 대상으로 합니다. 하단에 표기된 제품/사이트 외에는 포상 대상이 아닙니다.
- QueryPie
- Homepage
- querypie.com
- *.querypie.com
3. 포상 대상 및 포상금
본 프로그램 약관 참조 - 프로그램 약관 바로가기
- 알려지지 않은 문제를 처음으로 공개한 경우에만 포상금을 받을 수 있습니다.
- 포상금은 취약점/버그의 심각도에 따라 회사 재량으로 지급됩니다.
- 프로그램 약관을 위반한 증거가 있는 경우 포상이 거부될 수 있습니다.
4. 포상 대상에서 제외되는 경우
| 무차별 대입 공격을 사용한 계정/이메일 열거 | 취약점이 재현되지 않는 경우 |
|---|---|
| 이미 공개적으로 알려진 취약점 | Zero Day 취약점으로 미처 수정되지 못한 경우 |
| URL Redirection | Clickjacking/UI Redressing |
| Physical attacks | Missing cookie flags |
| HTTP Host Header XSS | "Self" XSS |
| Denial-of-Service(DoS) Attack | 서버의 어플리케이션 정보 노출 |
| Missing Security HTTP Headers | 클라이언트 측 자동 완성 또는 저장된 비밀번호/자격 증명 |
| 에러페이지를 이용한 페이지 변조 | Security, CSP 헤더 관련 |
| CHEQUER 서비스 이외의 모든 어플리케이션 | Social Engineering attacks |
| 내부 스캔, 악용 또는 데이터 유출 | 그 외 보안상 위협이 없다고 판단되는 취약점 |
| 제보받은 시점에서 취약점이 재현되지 않는 경우 | 취약점이 재현되더라도 회사가 이미 인지하고 있을 경우 |
| 본 프로그램 약관을 위배하였을 경우 |
5. 공개 정책 및 제한 사항
회사는 버그 바운티를 통해 보고받는 모든 리포트에 대해 가능한 빨리 수정하고 응답할 수 있도록 노력하고 있습니다.
- 회사가 버그바운티를 보고 받고 해당 취약점/버그를 고치고 개선할 때까지 취약점에 대한 정보는 회사의 명시적인 허가 없이 공개할 수 없고, 제 3자와 공유할 수 없습니다.
- 버그바운티 결과를 사용하여 데이터를 손상하는 행위 등 이용자 및 서비스에 영향이 갈 수 있는 행위는 금지됩니다.
- 시스템, 계정, 사용자 또는 사용자 데이터에 액세스하는 등 개인 정보, 자격 증명을 인식하는 시점에서 중지하시기 바랍니다. 이를 통해 발견한 모든 데이터의 저장, 전송, 접속 등의 처리는 금지됩니다.
- 회사 서비스와 연동된 third-party에 대한 테스트는 금지됩니다.
6. 제보
버그바운티 제보는 이곳을 통해 제보해주시기 바라며, 아래의 사항을 포함하여 자세히 기재해주시기 바랍니다.
- 취약점 이름
- 취약점의 발견 방법
- 버그 및 취약점을 재현하기 위한 코드
- 발생한 서비스 혹은 도메인 등
- 해당 취약점이 보안상 어떤 위협이 될 수 있는지에 대한 설명
취약점 제보시 아래 7. Bug Bounty Program 약관을 동의한 것으로 간주합니다.
7. Bug Bounty Program 약관
상세 약관은 이곳을 통해 확인하시기 바랍니다.
※ 기술적 취약점 및 버그 외에 컴플라이언스 및 제품 기획에 관련된 내용은 Compliance Bounty Program 에 제보 부탁 드립니다. 기타 문의 사항은 sec@chequer.io으로 보내주시기 바랍니다.
Compliance Bounty Program
1. 소개
CHEQUER 컴플라이언스 바운티 프로그램은 고객분들의 서비스 이용과 관련한 정책 및 법률 준수, 서비스의 안정성 및 컨텐츠의 적절성 등을 제보받아 이를 적극적으로 검토하여 개선하고 제보한 전문가분들께 적절한 포상을 지급하고자 하는 것을 목적으로 합니다.
2. 대상
CHEQUER가 제공하는 서비스(QueryPie, Homepage 등)에서의 Compliance 및 정보보호 이슈와 관련하여 아래와 같은 내용으로 제안(제보)을 하실 수 있습니다.
- 컴플라이언스 및 정보보호 관련 실정법 및 지침의 위반이나 미준수 사례
- 컴플라이언스 및 정보보호 관련 콘텐츠의 적절성 및 오류 개선방안
- 개인정보 과다 노출 및 잠재적 개인정보 침해 요소
- CHEQUER 서비스의 (개인)정보보호 수준 강화를 위한 기존의 기능 개선 및 추가 방법
- 개인정보 관련 새로운 서비스 기획 요청 등(UI, UX, 콘텐츠, 기타 등)
- Third-Party 연동 개발 요청 등(해당은 포상 대상에서 제외 될 수 있습니다)
※ 서비스의 기술적 취약점 및 버그에 대해서는 CHEQUER Bug Bounty Program 제도를 이용해주세요. Bug Bounty에 해당하는 사안을 Compliance Bounty Program으로 접수하시는 경우, 그 처리가 지연되거나 일부 사안의 경우 반려될 수도 있습니다.
3. 포상 대상 및 포상금
본 프로그램 약관 참조 - 프로그램 약관 바로가기
- 포상은 주요 법률 및 가이드 미준수, 서비스 안정성 및 개선에 대해 검토하여 회사 재량에 따라 주어집니다.
- 프로그램 약관을 위반한 증거가 있는 경우 포상이 거부될 수 있습니다.
4. 포상 대상에서 제외되는 경우
- Third-Party 연동을 위한 개발 요청의 경우
- 오타 및 표현상의 오류나 불편사항 접수의 경우
- 문제 해결 및 개선할 수 없는 현실성/가능성 없는 제안일 경우
- 제안/제보 사항에 이미 제보가 되었거나 혹은 기능 개선 예정인 경우
- 접수한 메일주소가 존재하지 않는 메일주소이거나, 메일 회신이 없는 경우
- 본 프로그램 약관을 위배하였을 경우
5. 공개 정책 및 제한 사항
- CHEQUER 서비스 이용과 관련된 정보보호 및 개선 기능에 관한 주제의 제안이어야 합니다.
- 합리적 근거를 가진 제안이어야 합니다.
- 정보보호 개선 사항 및 오류 수정 등 보고하신 내용은 CHEQUER의 동의 없이 외부에 공개할 수 없습니다.
- Third-Party 연동 개발 요청의 경우, CHEQUER 내부 검토 결과에 따라 요청이 반려되거나 지연 될 수 있습니다.
6. 제보
Compliance Bounty는 이곳을 통해 제보해주시기 바라며, 아래의 사항을 포함하여 자세히 기재해주시기 바랍니다.
- 대상 서비스 혹은 도메인
- 대상 기능 및 페이지에 대한 상세 설명
- 위반 법률 및 가이드라인 등 근거
- 기능 수정 및 개선을 위한 제안
- Third-Party의 경우 다른 회사 및 제품의 레퍼런스를 함께 설명해주시면 더욱 좋습니다.
취약점 제보시 아래 7. Compliance Bounty Program 약관을 동의한 것으로 간주합니다.
7. Compliance Bounty Program 약관
상세 약관은 이곳을 통해 확인하시기 바랍니다.
※ 서비스의 기술적 취약점 및 버그에 대해서는 CHEQUER Bug Bounty Program 제도를 이용해주세요. Bug Bounty에 해당하는 사안을 Compliance Bounty Program으로 접수하시는 경우, 그 처리가 지연되거나 일부 사안의 경우 반려될 수도 있습니다. 기타 문의 사항은 sec@chequer.io으로 보내주시기 바랍니다.